Kevin Mitnick, jeden z najgłośniejszych hakerów, zatytułował swą autobiografię „Sztuka podstępu. Łamałem ludzi, nie hasła”. Dużo prościej zdobyć informację od pracownika korporacji, niż włamać się do jej systemu. Potwierdza to najnowszy raport Związku Firm Ochrony Danych Osobowych. Przeprowadził on badanie na temat incydentów związanych z naruszeniem ochrony danych wśród 454 przedsiębiorstw i instytucji publicznych obsługiwanych przez swoich członków. Pokazało ono, że 68 proc. z nich ma źródła wewnętrzne. Najczęściej chodzi o niefrasobliwość pracowników.

– To pokazuje, że najważniejszy jest czynnik ludzki. Oczywiście można wdrażać nowoczesne rozwiązania informatyczne, ale, po pierwsze, są one drogie, a po drugie, i tak nie zapobiegną temu, że pracownik zostawi gdzieś pendrive z danymi. Dlatego najważniejsza jest edukacja, przy czym niekoniecznie mam na myśli kursy i szkolenia, których tak wiele jest na rynku, a których jakość często pozostawia wiele do życzenia – komentuje radca prawny Tomasz Osiej, wiceprezes ZFODO i prezes zarządu firmy doradczej Omni Modo.

Tylko 20 proc. incydentów wynikała z działań zewnętrznych. Przy czym nie chodzi wyłącznie o włamania dokonywane przez hakerów. Czasem naruszeń dopuszczają się byli pracownicy. W 12 proc. wina leżała po stronie procesorów, czyli firm, którym powierzono przetwarzanie danych.

Na czynnik ludzki wskazują też inne dane. Z badania wynika, że przyczyną 96 proc. incydentów (zarówno tych z wewnątrz, jak i zewnątrz) był człowiek. Tymczasem wśród wielu wciąż pokutuje przekonanie, że najsłabszym ogniwem są technologie.

– Wynik badania to przestroga dla wszystkich wierzących w to, że nowe technologie zabezpieczą w sposób bezobsługowy posiadane przez nas informacje. Praca z ludźmi jest żmudna, wymaga systematyczności i konsekwencji. I nie gwarantuje sukcesu. Jednak to jedyna droga do wyeliminowania naruszeń – przekonuje Przemysław Zegarek, szef ZFODO i prezes zarządu kancelarii Lex Artis.

E-sklepy najbardziej narażone

Wśród przebadanych administratorów od maja 2019 r. do maja 2020 r. odnotowano łącznie 297 incydentów. Oznacza to, że średnio na każdego przypada 0,65. W ubiegłorocznym badaniu wskaźnik ten był niższy i wynosił 0,46.

– Rzeczywista skala występowania jest zapewne większa, gdyż nasze badanie przeprowadzono wśród dużych organizacji, które korzystają z usług naszych członków, a więc przywiązują stosunkowo dużą wagę do kwestii bezpieczeństwa. Wyniki te pokazują jednak, że ryzyko narasta – komentuje Tomasz Osiej.

– Cieszy natomiast, że rośnie świadomość zagrożeń ze strony samych administratorów. Nie boją się zgłaszać naruszeń, nie zamiatają sprawy pod dywany. To dobrze, bo z każdego incydentu powinny być wyciągane wnioski na przyszłość, każdy powinien zostać przepracowany – zaznacza.

Wyniki badania pokazują, że najbardziej narażona jest branża handlu internetowego (26 proc. incydentów), przemysłowa (13 proc.) i finansowo-ubezpieczeniowa (8 proc.). Do tych danych trzeba jednak podchodzić z dystansem, bo mogą one wynikać choćby z tego, że akurat takie firmy najczęściej korzystają z usług doradców od ochrony danych. Jeśli chodzi o e-sklepy, to z skala naruszeń może wiązać się z ilością przetwarzanych przez nich danych. Niewykluczone jednak również, że branża ta wyjątkowo skrupulatnie podchodzi do odnotowywania incydentów. Mógł tu zadziałać efekt psychologiczny związany z głośnym wyciekiem z Morele.net z grudnia 2018 r.

– Administratorzy z tego sektora zgłaszali naruszenia – zarówno te kwalifikujące się bezspornie, jak i te, których ocena balansowała na granicy wyniku decydującego o notyfikacji prezesowi Urzędu Ochrony Danych Osobowych. Mogło to wynikać ze strachu przed karami, ale moim zdaniem, w większości przypadków decydowała chęć poddania się niezależnej ocenie organu – przypuszcza Piotr Kawczyński, dyrektor zarządzający firmy Forsafe.

Zgłaszanie naruszeń

Ogólnie co trzeci incydent został zgłoszony do UODO. Informowanie organu nie jest wymagane, jeśli jest mało prawdopodobne, by doszło do naruszenia praw lub wolności osób fizycznych.

– Najnowsze dane wskazują wzrostową tendencję incydentów, które nie zostały zgłoszone prezesowi UODO. Każdy przypadek wymaga indywidualnej i rzetelnej analizy, niemniej jednak administratorzy powinni mieć świadomość, że decyzja o braku zgłoszenia incydentu może być ryzykowna w dłuższej perspektywie – uważa Maciej Kaczmarski, prezes ODO 24. W ubiegłym roku zgłoszono do UODO łącznie ponad 6 tys. naruszeń.

Co ciekawe, jeszcze rzadziej informowano samych zainteresowanych. Świadczy to o tym, że większość incydentów, zdaniem administratorów, nie powodowała wysokiego ryzyka naruszenia praw osób, których dane przetwarzano. Czy tak jest w istocie? Trudno to ocenić.

Na pewno natomiast wątpliwości może budzić sposób informowania. Część firm jako jedyny sposób robi to wyłącznie poprzez ogłoszenie na własnej stronie internetowej. Oznacza to, że nie wszyscy zainteresowani mają szanse dotrzeć do tej wiadomości i podjąć kroki, by ktoś np. nie wziął pożyczki, posługując się ich danymi. 

Wynik badania to przestroga dla wszystkich wierzących w to, że nowe technologie zabezpieczą w sposób bezobsługowy posiadane przez nas informacje. Praca z ludźmi jest żmudna, lecz to jedyna droga do wyeliminowania naruszeń